ECカートプラグイン、Welcartがオブジェクトインジェクションの脆弱性を修正したWelcart 1.9.4 をリリース

EC用(カート)プラグイン、Welcartが脆弱性を修正した1.9.4をリリースしました Welcartプラグインご利用の皆様は、至急アップデートして下さい。 なお、WebRepairではこの20日ほど連日Welcart […]

EC用(カート)プラグイン、Welcartが脆弱性を修正した1.9.4をリリースしました

改ざん被害

Welcartプラグインご利用の皆様は、至急アップデートして下さい。

なお、WebRepairではこの20日ほど連日Welcartプラグインの利用者様から多数の改ざん復旧のご依頼を承ってきており、すでに本脆弱性への対応を行ってきております。

非常に多くのご依頼があり、影響が大きいものと推測されます。

このたび公式サイトよりアナウンスがありましたので、ここに公開いたします。

【オブジェクトインジェクション脆弱性の修正】

過去のすべてのバージョンが対象、オブジェクトインジェクションと思われる脆弱性が見つかり、放置すると、サイトに任意のファイルの埋め込まれる可能性がある、とアナウンスしています。

PHPオブジェクトインジェクションとは

unserialize関数に外部から任意のデータを渡すコードがあった場合、自由にシリアライズされたデータを渡すことができます。つまり安全であるかどうかの検証ができない値を渡してしまうと危険なわけですが、過去には某オープンソースでCookieの値をこの形で渡してしまい任意のコードが実行できてしまう脆弱性となったことがあります。

なお本件も同様の脆弱性で、対策としてWelcart1.9.4ではjson_decodeへの変更が行われました。

共通する被害状況

ある特定のページに、POSTリクエストが連続して投げられたのち、バックドアがアップロードされます。

このバックドアを利用してフィッシングを目的としたファイルのアップロード、複数のバックドアの追加、スパムメール送信などが行われます。

zipでの圧縮形式でアップロードされ、サーバー内で解凍されます。

また.ico拡張子のバックドアが利用されるケースが多くあります。

(例)rosoiew.zip、wp-ss.zip、db_connector.php等、その他さまざまなパターンが存在します。

公式サイトのアナウンス

Welcart 1.9.4 をリリースしました【脆弱性の修正】

差分

差分はこちら

改ざん被害に遭った方は

phpファイルの改ざんだけでなく、icoファイルのバックドアなどが存在します。

複数回の再被害が出る原因として、すべてを完全にクリーンにできず見落としが出てしまうという点が挙げられます。

お気軽に弊社までご連絡ください。